RGPD : attention, ça déménage ! Faites le point sur vos obligations

17/04/2018
Outils de tracking

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Cette loi vise à améliorer la protection de la vie privée et des données à caractère personnel sur le web. La toile entière panique, mais rassurez-vous, après avoir appréhendé les quelques aspects pratiques de cette loi, vous y verrez plus clair.

rgpd

Le règlement européen implique des changements importants au niveau des procédures de collecte de données.

Le RGPD en deux mots : consentement et protection

Une donnée personnelle est une information qui permet d’identifier une personne : nom, coordonnées, etc. Le RGPD encadre de manière plus stricte la collecte et le stockage de données personnelles.

Le stockage d’une donnée doit toujours être justifié, et sa collecte doit être faite avec le consentement de la personne. Il ne faut stocker une donnée que pour une durée limitée (le temps de son exploitation), et conserver la preuve du consentement de la personne. Le consentement doit être actif et non pas tacite.

Concrètement ? Un simple champ « email » pour l’inscription à une newsletter n’est légalement plus adapté. L’internaute doit être informé de l’utilisation précise qui sera faite de son adresse mail : on ajoutera dans ce cas une brève explication sous le formulaire. Vous devez d’autre part, conserver une preuve écrite de son consentement (lui demander de cliquer sur un lien de validation dans un email est une solution). Si le recueil de l’adresse email n’a pas pour seule finalité l’envoi d’une newsletter, il faut détailler chaque finalité, avec une case à cocher (l’internaute doit accepter chaque finalité, individuellement).

Il faut également pouvoir garantir la protection des données pour éviter toute fuite ou usurpation, ainsi que les différents droits de la personne concernée (accès, rectification, effacement, limitation du traitement, portabilité, opposition).

rgpd

Bon à savoir : la RGPD concerne tous les résidents de l’Union Européenne (qu’ils consultent un site « européen » ou non). Vous trouvez le règlement dans son intégralité sur le site de la CNIL.

La principale contrainte de cette loi est qu’elle est rétroactive : elle s’applique sur toutes les données actuellement stockées par les entreprises !

Quelles sont les étapes pour vous mettre en conformité avec la loi RGPD ?

Le fonctionnement de votre entreprise et vos procédures internes vont devoir évoluer. Voici des démarches qui peuvent vous concerner :

  • Désigner un DPO (Délégué à la Protection des Données) au sein de votre structure.
  • Mettre en place un registre de traitement des données (avec notamment votre stratégie de conservation et suppression des données).
  • Analyser l’impact sur la protection des données en cas de risques élevés pour les droits et libertés des personnes concernées (si fuite de données).
  • Adopter une procédure lors de violations de données.
dpo rgpd

Le DPO centralise et diffuse l’information relative aux données personnelles au sein d’une entreprise.

Quels types d’informations personnelles conservez-vous ? Pour quelles raisons ? La nouvelle réglementation vous donne l’occasion de remettre tout cela à plat et, à l’avenir, de mieux encadrer vos procédures de collecte de données et génération de leads : ne collecter que les informations utiles, assurer une traçabilité, etc.

Règlement européen : qu’est-ce que cela change pour votre site web ?

Quelques mises à jour sont nécessaires sur votre site, en particulier pour répondre à l’obligation du consentement de la personne. En trois étapes :

  1. Permettre à l’internaute d’accepter ou de refuser chaque cookie recueilli par votre site. Ces cookies peuvent concerner les fonctionnalités liées aux réseaux sociaux, ou à la collecte de statistiques de trafic. Le refus des cookies peut se révéler contraignant lorsqu’on souhaite analyser son référencement et ses statistiques de trafic ! C’est pourquoi, nous recommandons de paramétrer Google Analytics pour ne pas avoir besoin de recueillir le consentement du visiteur de votre site : anonymiser les données, et définir la suppression des données au bout de 13 mois (au lieu des 24 mois par défaut).
  2. Mettre à jour les mentions légales de votre site : ajouter un paragraphe sur votre politique de gestion des données personnelles.
  3. Ajouter une fonctionnalité de consentement et un texte légal sur les formulaires de collecte de données : votre agence web peut vous accompagner sur les aspects juridiques et techniques de ce chapitre particulièrement sensible.

D’autre part, le passage en https devient incontournable, car il permet de sécuriser votre site et vos formulaires ! C’est un critère de confiance important depuis quelques années ; avec le règlement européen, cela devient un fondamental. Ce critère sera particulièrement visible à partir de Chrome 68, dont le déploiement est prévu à l’été 2018.

Si vous n’êtes pas parfaitement opérationnel au 25 mai, montrez patte blanche et indiquez que vous avez entrepris les démarches nécessaires. Votre agence web a l’obligation de vous informer des nouvelles obligations qui vous incombent. Elle peut vous accompagner dans la définition et la mise en conformité des données que vous exploitez.

Pour aller plus loin :